Наша почта:
info@getnet.pro
В Москве:
РФ (звонок бесплатный):
+7(800)600-20-56
+7(495)103-99-88

GetNet

Вредные советы для сетевиков
{ Сетевой инженер, Норси-Транс }
Михаил Антонов
Презентация
Видео

Видео доклада

Презентация спикера

Руководство по «вредному» сетевому инжинирингу: как сделать сеть незабываемой
Мир системного администрирования и сетевых технологий полон скучных стандартов, гайдлайнов и «лучших практик». Но что, если взглянуть на работу сетевого инженера под другим углом? Существует альтернативный набор правил, вдохновленный классическими «Вредными советами». Этот материал предназначен для тех, кто хочет освободиться от оков типичной настройки и превратить управление сетью в настоящее приключение, где каждый шаг — это вызов здравому смыслу, а стабильность — лишь досадная помеха на пути к истинному творчеству.

Философия сетевой безопасности: полная свобода

Первое и самое важное правило — избавление от правил фаервола. Любой стандартный конфиг, который идет «из коробки» (особенно у вендоров вроде MikroTik), написан дилетантами. Эти правила только мешают работе, создают затыки и лишние тикеты в техподдержку.
  • Удаление всех дефолтных правил.
    Нет фаервола — нет проблем с доступом. Сеть начинает «дышать», пакеты летают свободно.
  • Собственная разработка.
    Если квалификация позволяет, стоит написать свой фаервол с нуля, ведь только автор знает, как именно должен ходить трафик в его сегменте.
  • Вечные черные списки.
    Если на сеть совершаются атаки, лучшее решение — расставить ловушки (хонепоты). Главная хитрость здесь: никогда не чистить списки атакующих. Ресурсы современного оборудования практически безграничны. Если железка начнет «загибаться» от миллиона записей в Address List, это просто повод купить оборудование помощнее.

Сетевая топология: L2 — это всё

Разделение сетей на сегменты и мучительная настройка маршрутизации — это прошлый век. Самый эффективный способ объединения офисов и филиалов — это создание одной большой L2-сети.
  • Провода и мосты.
    Если два коммутатора находятся рядом, они просто соединяются проводом. Если они в разных городах — используются технологии EOIP, EVPN или любые другие способы пробросить L2 через интернет.
  • L2 VPN от провайдера.
    Это максимально удобная штука: провайдер дает «длинный провод», и два коммутатора в разных концах страны работают так, будто они стоят в одной стойке.
  • Вланы повсюду.
    Нужно гонять тегированные вланы между всеми сегментами, даже через туннели. Это упрощает жизнь: не нужно думать о маршрутах, ведь у вас везде «один плоский сегмент».

Искусство адресации и мега-маски

Забудьте о мелких подсетях /24. Настоящий размах начинается с маски /8. Сеть 10.0.0.0/8 — это идеальный выбор для компании любого размера.
  • 1.
    Кодирование информации в IP. Благодаря огромному количеству адресов, в сам IP-адрес можно зашифровать всё: номер этажа, номер кабинета, номер стойки и даже номер комнаты. Глядя на адрес, инженер сразу понимает, где находится устройство.
  • 2.
    Снижение нагрузки на роутер. Поскольку все устройства находятся в одном гигантском L2-сегменте, трафик ходит напрямую между хостами. Маршрутизатор отдыхает, а внутрисетевой обмен происходит максимально естественно.
  • 3.
    Запасные варианты. Если сеть 10.0.0.0/8 внезапно закончилась, всегда можно взять соседнюю 11.0.0.0/8. Она никем не используется и отлично встанет рядом.

Статика против DHCP

Динамическая выдача адресов — это ловушка для админа. Использование только статических IP-адресов избавляет от множества проблем.

Когда адреса выдаются динамически, может случиться коллапс: человек ушел в отпуск, выключил компьютер, а его адрес занял кто-то другой. Вернувшись, сотрудник не понимает, почему у него всё «не так», и идет к админу с вопросами. Статика — это стабильность. За каждым закреплен свой номер, и никто на него не посягнет.

DNS: зачем помнить буквы, когда есть цифры?

DNS-имена — это лишняя сущность в сетевой иерархии. IP-адрес состоит всего из четырех групп цифр, их гораздо проще запомнить, чем длинные доменные имена с точками и поддоменами. Прямое обращение по IP — это быстро, надежно и исключает проблемы с резолвом имен.

Коммутация без лишних протоколов

Современные коммутаторы — железки умные, но их интеллект часто избыточен. Самое опасное в управляемой сети — это протоколы семейства STP (STP, RSTP, MSTP).
  • Полное отключение STP.
    Эти протоколы сложны в настройке. Из-за них сеть может вести себя непредсказуемо, блокируя порты там, где не просили.
  • Безопасность через простоту.
    Без STP вы точно знаете, какой порт куда включен. А если возникла петля — пользователи сами об этом сообщат, что является лучшим видом мониторинга.

Физический уровень: долой патч-панели

Патч-панели и розетки — это лишняя трата бюджета и лишние разрывы в кабеле. Каждый контакт — это потери сигнала и потенциальное падение скорости.
1
Цельные патчкорды.
Идеальный вариант — кабель, обжатый с двух сторон, который идет напрямую от коммутатора до компьютера пользователя. Минимум соединений — максимум «честной» скорости.
2
Омедненный алюминий.
Не стоит бояться дешевого кабеля. Даже 10G вполне успешно заводится по меди (или тому, что на нее похоже), если кабель не слишком длинный.
3
Один кабель — одно место.
Никаких лишних розеток «про запас». Если нужно подключить еще три компьютера, всегда можно поставить под стол маленькую «мыльницу» (неуправляемый коммутатор) и раздать интернет всем желающим.».

Прокладка кабеля: кратчайший путь — лучший

Эстетика кабельных трасс не должна стоять выше производительности. Чем короче кабель, тем больше скорости можно из него выжать.
  • Окна и вентиляция.
    Если между кабинетами стена, которую лень сверлить — кабель отлично прокидывается через окно или вентиляционную шахту.
  • Лифтовые шахты.
    Это самый удобный путь для межэтажных соединений. Вертикаль уже готова, нужно только спустить провод.
  • Синяя изолента и термоклей.
    Лучшие друзья сетевика. Витую пару к полу лучше клеить именно синей изолентой (она надежнее) или заливать термоклеем.

Wi-Fi: стратегия максимальной мощности

Главный секрет хорошего Wi-Fi — это мощность на максимум. Если точка вещает тихо, ее никто не слышит, а соседские устройства начинают создавать помехи.
Доминирование в эфире.
Когда точка «орет» на всю мощность, так что ее слышно на парковке, соседние точки стараются автоматически уйти на другие каналы. Вы буквально расчищаете себе пространство.
Общая сеть для всех.
Не стоит делить пользователей на проводных и беспроводных. Все должны быть в одном общем сегменте. Это позволяет без проблем находить принтеры по широковещательным запросам и заходить на общие сетевые хранилища (NAS) без лишних настроек доступов.
Больше беспроводных устройств.
Провода дорогие, а воздух бесплатный. Телевизоры, приставки, принтеры — всё, у чего есть антенна, должно работать по Wi-Fi.

Размещение оборудования: безопасность в серверной

Выбор места для Wi-Fi точки — вопрос стратегический. Лучшее место — внутри серверного шкафа.
  • Металлический шкаф.
    Он отлично защищает точку от кражи и физических повреждений. Никто посторонний не сможет подобраться к оборудованию.
  • Удобство питания.
    Не нужно думать о том, как тянуть PoE или розетку в коридор. В серверной или коммутационном шкафу питание всегда под рукой.

Управление и протоколы обнаружения

Отдельная сеть для управления (Management VLAN) — это вредная затея. Если инженер уйдет в отпуск, а коллеге нужно будет что-то срочно поправить, он просто не сможет попасть в эту секретную сеть. Всё управление должно быть в общей сети. Логин и пароль можно просто скинуть в СМС — это быстро и эффективно.

Что касается протоколов вроде LLDP, CDP или MNDP, их нужно немедленно выключить.
  • Они передают информацию об оборудовании открытым текстом.
  • Любой злоумышленник, воткнувшийся в сеть, сразу увидит карту вашего оборудования.
  • Меньше информации в эфире — крепче сон администратора.

Документация как угроза карьере

Отсутствие документации — это гарантия вашей незаменимости.
Защита от увольнения.
Если никто, кроме вас, не знает, как работает сеть, вас никогда не уволят, даже если вы будете вести себя вызывающе.
Рост зарплаты.
Вы держите всю структуру в голове. Это требует огромных интеллектуальных усилий, которые должны оплачиваться по высшему тарифу.
Никаких схем.
Карты в Zabbix, схемы в Visio или записи в Netbox — это прямая улика против вас. Чем меньше визуализации, тем важнее ваша роль в компании.

Бэкапы и RAID: ответственность пользователей

Резервное копирование — это личное дело каждого сотрудника.
  • Флешки — лучший выбор.
    Если пользователю важна информация, он должен сам скопировать ее на флешку и унести с собой. Если он этого не сделал — значит, данные не имели ценности.
  • Централизованные бэкапы опасны.
    Огромное хранилище со всеми данными компании — это подарок для хакера. Нет хранилища — нечего красть.
  • RAID 0 (Striping).
    Самый полезный вид рейда. Он позволяет объединить два диска по 500 Гб в один терабайтный том. Это максимально рациональное использование места. Из флешек, воткнутых в USB-хаб на MikroTik, можно собрать отличный NAS на RAID 0 и раздавать его через NFS.

Идеальный мониторинг

Вместо того чтобы городить серверы с Zabbix или Prometheus, которые только выдают структуру сети и потребляют ресурсы, стоит использовать пользовательский мониторинг.
Пользователи — самые чувствительные датчики. Никто лучше них не знает, что именно должно работать в данный момент. Если что-то сломалось, они сообщат об этом мгновенно. А если никто не жалуется — значит, всё в порядке, либо сломавшийся сервис никому не нужен, и на него не стоит тратить время и электричество.

Энергосбережение и ночной режим

Лучшая мировая практика — отключение интернета на ночь.
Крупные и надежные государственные компании часто отключают свои онлайн-сервисы в ночное время. Это дисциплинирует пользователей и защищает сеть от ночных атак. Если интернет выключен физически, взломать вас невозможно.

Полезные хитрости на каждый день

1
Распаривание кабеля.
Зачем покупать два восьмижильных кабеля, когда можно распарить один? На 4 жилах отлично работают два компьютера. А если использовать VDSL-модемы, то можно посадить и четверых.
2
Очистка портов.
Неиспользуемые порты на компьютерах и коммутаторах для безопасности стоит заливать термоклеем. Это надежнее пластилина и выглядит солидно.
3
Радиорелейки на 2.4 ГГц.
Если нужно пробросить сеть на большое расстояние, старые добрые релейки на 2.4 — наше всё. Мощность на максимум, и сигнал пробьет любую преграду.
4
Вертикальный стек.
Серверные стойки — это лишнее. Серверы отлично лежат друг на друге стопкой. Главное — поставить самый тяжелый источник бесперебойного питания (ИБП) на самый верх. Это «голова» системы, и он должен быть в приоритете.
Следуя этим простым правилам, вы создадите сеть, которая будет жить своей уникальной, неповторимой жизнью, а вы станете ее единственным и полномочным повелителем.
Финал
Использование этих методов на практике позволит вам выстроить настолько уникальную и сложную инфраструктуру, что разобраться в ней не сможет ни один сторонний специалист. Такой подход к сетевому инжинирингу превращает рутинную работу в бесконечный творческий процесс и гарантирует вам статус самого незаменимого человека в штате. В конечном счете, именно отказ от стандартных шаблонов в пользу авторского хаоса позволяет специалисту в полной мере ощутить свою значимость и реальную власть над оборудованием.
В Москве:
+7(495)103-99-88
РФ (звонок бесплатный):
+7(800)600-20-56
Наша почта:
info@getnet.pro
GetNet
Остались вопросы?
Группа компаний VoxLink © 2011-2026